Последнее время в СМИ всё чаще появляется информация об утечке данных клиентов банков. В интервью «Облгазете» первый заместитель начальника Уральского ГУ Банка России Евгений Барышников рассказал, почему это происходит, кто чаще всего страдает от киберворовства и что с этим делать.
Кто виноват?
Евгений Юрьевич, не так давно появлялась информация об утечках данных в нескольких крупных банках, среди которых – Сбербанк, где были украдены данные пяти тысяч человек, ВТБ, Альфа-банк. Насколько это сегодня серьёзная проблема?
– Как показывает практика, масштабы утечек в реальности оказываются гораздо меньше, чем это преподносится, и не всегда источник – кредитная организация. Например, злоумышленники вместо новых данных предлагают компиляцию данных, распространённых ими же ранее. Департамент информационной безопасности Банка России выяснил, что информация о банковских реквизитах клиентов появляется в этих базах часто потому, что мошенники, например, в процессе разговора с человеком, выясняют его банковские реквизиты, включают их в имеющуюся базу и перепродают дальше. Только надзорными методами проблему утечек данных решить невозможно. Сейчас свои предложения по этой тематике готовит Банк России, а также вопрос обсуждается межведомственной рабочей группой при Совбезе. В перспективе ответственность лиц, виновных в утечке персональных данных граждан, может быть усилена вплоть до уголовной.
А если утечка произошла по вине банка?
– Ответственность банков в этом случае должна осуществляться по законодательству РФ о персональных данных. Финансовый сектор научился бороться с утечками баз данных гораздо лучше других отраслей. Работа по обеспечению информбезопасности ведётся с 2012 года, с того момента число инцидентов и объём ущерба от них существенно снизились.
Как это происходит?
– Многим моим знакомым уже успели позвонить «сотрудники банка». Мошенники обращаются к своим потенциальным жертвам по имени, знают, какие операции те совершали. Откуда эта информация у злоумышленников?
– Чаще злоумышленники берут данные не из банков, а из других источников, ведь каждый из нас оставляет за собой «цифровой след» – массу информации в интернет-магазинах, в обычных магазинах при оформлении дисконтных карт и, конечно же, в социальных сетях.
Для того чтобы завязать разговор, злоумышленнику достаточно знать номер телефона, фамилию, имя, отчество потенциальной жертвы. И всё. Часто они даже не знают, в каком банке у клиента открыт счёт. На той стороне телефонного провода – тонкий психолог, который может так разговорить человека, чтобы тот, поддавшись спешке, сам рассказал, где обслуживается, какие у него счета, какие операции он совершает, назвал номер карты, код с её обратной стороны, а потом сообщил пароль, который тут же пришёл по СМС, и так далее. Это методы так называемой социальной инженерии.
– Действительно ли она «выдавила» другие схемы киберворовства: скимминг (кража данных карты при помощи считывающего устройства) и вредоносное программное обеспечение?
– Да. В 2019 году на неё приходилось 69 процентов мошеннических операций. Однако по сравнению с 2018 годом этот показатель сократился: тогда доля социальной инженерии достигала 97 процентов. Такое снижение может объясняться усилиями со стороны банков, надзорных и правоохранительных органов, а также повышением уровня киберграмотности населения.
Мы можем сколь угодно устранять пробелы в периметре защиты кредитных организаций. Но до тех пор, пока люди сами будут сообщать мошенникам номера карт, коды из СМС и иные данные, хищения будут продолжаться. Важнейшим способом борьбы с социальной инженерией мы считаем информационные кампании.
ТОП-5 схем телефонного мошенничества
Чаще всего злоумышленники звонят жертвам, представляясь сотрудниками банка, и пытаются выведать секретную информацию. Происходит это по-разному:
- Позвонивший говорит, что зафиксирована попытка несанкционированного списания средств с его счёта, поэтому надо срочно продиктовать все реквизиты карты.
- Другой сюжет: попытка списания предотвращена, но карту надо заблокировать, а деньги срочно перевести на некий резервный счёт.
- «Сотрудник банка» говорит, что заявление на закрытие счёта принято, обработано, а теперь осталось только выбрать, в каком отделении банка клиенту удобно получить наличные. Если клиент сообщает, что никакого заявления не писал и счёт не закрывал, то в ход идёт предыдущий сценарий.
- Сообщают, что человеку одобрен крупный кредит, однако отделения банка поблизости нет, поэтому деньги придется получать платным переводом через другой банк. Затем злоумышленники могут потребовать оплатить страховку, внести плату за разблокировку, комиссию и т.д.
- Популярны схемы обмана от лица интернет-магазина: ничего не покупавший клиент получает СМС о том, что с карты списана определённая сумма за онлайн-покупку. «Если хотите отменить списание, позвоните по номеру…», – значится в сообщении. Если человек перезванивает мошенникам, его настойчиво убеждают передать все данные карты, иначе «списание» уже не отменить.
Что делать?
– Много ли похищенных средств возвращается пострадавшим? Есть ощущение, что злоумышленников не ловят совсем.
– В 2019 году клиентам возвращено только 15 процентов (или каждый седьмой рубль) от средств, списанных с банковских карт без их согласия. Это как раз иллюстрация масштабов распространения социальной инженерии как способа совершения хищения. Сегодня эти деньги вернуть практически невозможно. Дело в том что, когда клиент банка добровольно сообщает злоумышленнику данные, которых достаточно для вывода средств, он нарушает условия договора с кредитной организацией, предусматривающие необходимость сохранения конфиденциальности платёжной информации.
– А есть ли смысл куда-то жаловаться, если стал жертвой?
– Самое главное правило: если с карты пропали деньги или вы подозреваете, что её данные узнали посторонние, как можно быстрее заблокируйте эту карту. В своем банке опротестуйте незаконную операцию в тот же день, когда получили уведомление о ней. Запросите выписку по счёту и напишите заявление о несогласии с операцией, которую не совершали. Обязательно подайте заявление в отделение полиции по месту жительства. Чем быстрее вы это сделаете, тем больше шансов найти преступников и вернуть деньги. Напишите жалобу в интернет-приемную Банка России или позвоните по телефону горячей линии 8–800–300-30–00.
– Банк России что-то планирует предпринять для того, чтобы похищенные деньги было легче вернуть?
– Мы намерены рассмотреть возможность изменения процедуры возврата похищенных средств клиентов. Одновременно работаем с преступлениями, совершёнными с помощью мобильной связи. Есть организационно-технические решения, чтобы лишить злоумышленников существующих сегодня возможностей. Это создание единой информационной системы, которая открывает банкам доступ к информации о принадлежности сим-карт и блокировка возможности «подмены» телефонных номеров. Однако необходимо внесение изменений в федеральное законодательство, этот вопрос Банк России прорабатывает совместно с Минкомсвязи и Государственной думой.
Подготовлено в соответствии с критериями, утверждёнными приказом Департамента информационной политики Свердловской области от 09.01.2018 №1 «Об утверждении критериев отнесения информационных материалов, публикуемых государственными учреждениями Свердловской области, в отношении которых функции и полномочия учредителя осуществляет Департамент информационной политики Свердловской области, к социально значимой информации».
- Опубликовано в №50 от 20.03.2020 под заголовком «Клиентам возвращается только каждый седьмой рубль».
